Mowa o LayerSlider, wtyczce z której korzysta ponad 1 mln stron internetowych. Występująca w niej luka naraża zainfekowane witryny internetowe na nieuwierzytelnione ataki polegające na wstrzykiwaniu kodu SQL, umożliwiając potencjalnym atakującym kradzież istotnych danych.
Podatna na ataki wtyczka, to popularne narzędzie, które pozwala właścicielom witryn internetowych tworzyć galerie obrazów, animacje oraz responsywne suwaki.
Luka śledzona jako CVE-2024-2879, która uzyskała wynik CVSS na poziomie 9,8 i jest oznaczona jako krytyczna, dotyczy wersji wtyczek od 7.9.11 do 7.10.0. Błąd ten odkrył badacz cyberbezpieczeństwa AmrAwad podczas Wordfence Bug Bounty Extravaganza, dzięki czemu otrzymał nagrodę w wysokości 5 500 USD, najwyższą w historii wypłaconą przez Wordfence.
Jak czytamy w opisie wady, słabym punktem jest działanie wtyczki ls_get_popup_markup „z powodu niewystarczającej ucieczki od parametru dostarczonego przez użytkownika i braku wystarczającego przygotowania istniejącego zapytania SQL”.
Ta luka we wtyczce WordPress może pozwolić atakującym na dołączenie dodatkowych zapytań SQL do istniejących, co umożliwi im kradzież danych, w tym poufnych informacji o użytkowniku i skrótów haseł. Co gorsza, cyberprzestępcy mogą przeprowadzać te ataki bez uwierzytelniania na podatnych witrynach internetowych. Po ataku polegającym na wstrzykiwaniu kodu SQL, wyodrębnione dane mogą umożliwić atakującym złamanie poufnych informacji i przejęcie pełnej kontroli nad zaatakowaną witryną internetową.
Całkowite przejęcie zainfekowanych witryn internetowych może poważnie wpłynąć na odwiedzających, którzy prawdopodobnie nie będą świadomi przejęcia kontroli przez złośliwy podmiot.
Wspomniana luka została załatana w wersji 7.10.1 wtyczki LayerSlider – użytkownikom zaleca się aktualizację do tej wersji.
„W przypadku ujawnienia luki we wtyczce WordPress kluczowe jest jak najszybsze zainstalowanie łatki. Jeśli tego nie zrobimy, cyberprzestępcy mogą wykorzystać tę sytuację, rozsyłając niczego niepodejrzewającym odwiedzającym treści zawierające złośliwe oprogramowanie, potajemnie zbierając ich dane, prowadząc ich do formularzy phishingowych lub przekierowując do innych złośliwych miejsc docelowych” – skomentował Dariusz Woźniak z firmy Marken Systemy Antywirusowe.
